Ana içeriğe atla

ops

Perakende sektöründe siber güvenlik için bu önlemleri alın

13.04.2017 - 16:58

Yeni sezon ve tatil alışverişi dönemi yaklaşmak üzere… Perakende sektöründe hareketlilik bekleniyor. Bununla birlikte güvenlik tehditlerinde de doğru orantılı bir artış söz konusu. İnternet üzerinden alışveriş trendi ne kadar yükselse de, siber saldırganlar için mağaza satışları da bir fırsat teşkil ediyor. Birçok perakende satıcısı satış noktası (POS) cihazlarının “dilsiz” olduğunu düşünür ve onları dikkatlice korumayı ihmal ederler. Bu durum, POS cihazlarını kredi kartlarına yönelik kötü amaçlı yazılımları da içeren bir dizi saldırıya açık hale getirir.
Son günlerde POS cihazlarına zarar verebilecek yeni bir kötü amaçlı yazılım olan FlokiBot'u inceledik. Bu kötü amaçlı yazılım, bankalara yönelik Zeus adındaki Trojan ailesinin farklı bir türevi olarak karşımıza çıkıyor. Perakende, konaklama ve yiyecek hizmet şirketlerine karşı kullanılabiliyor.
Zeus tabanlı kötü amaçlı yazılımlar 2009'dan beri faaliyetteler ve bu zaman zarfında birçok sürümü ile türevi çıkmış durumda. Bu, tehdit aktörlerinin kullanmaya devam ettiği, bankalara yönelik yeni bir kötü amaçlı yazılım üretmek istediklerinde başvuru kaynağı olarak gördükleri denenmiş ve gerçek bir kötü amaçlı yazılım platformudur.
Bugüne kadar POS'ları hedef alan kötü amaçlı yazılımlar toplam 534 saldırıda kullanıldı. Bunlardan 525 tanesinde verilerin çalındığı doğrulanmış bulunuyor (2016 Verizon Veri İhlali İnceleme Raporu'na göre). Bu durumdan anlaşıldığı üzere hedefler çekiciliklerini koruduğu için saldırganların yenilikleri de sürüyor. 
FlokiBot tipik Zeus türevlerinde nadiren görülen birtakım özelliklere sahiptir. Bunlara biraz daha yakından bakalım: 

•POS BELLEĞİNİ DÖKME
Diğer birçok kötü amaçlı yazılım ailesinin POS yetenekleri bulunur ancak bu, araştırma ekibinin daha önce bir Zeus türevinde gördüğü bir özellik değildir. Mağaza müşterinin kredi kartını taradığı zaman bu tür bir veri ortaya çıkar. Manyetik şeritte bulunan bilgi POS cihazının hafızasına kaydedilir. POS'a yönelik kötü amaçlı yazılım (bu örnekte FlokiBot) bilgisayarın belleğini tarayarak, kredi kartı verilerinin biçimi ile eşleşen bir veri kalıbı bulmaya çalışır. Olası bir eşleşme bulursa, verileri tehdit aktörüne gönderir. Tehdit aktörü de verileri kullanarak kendi sahte kredi kartlarını oluşturabilir veya yasa dışı forumlarda verileri satar.

•ONLİNE ERİŞİLEBİLİRLİĞİ ENGELLEMEYE YÖNELİK SALDIRILAR
Bu, Zeus tabanlı bir kötü amaçlı yazılım türevi için alışılmamış bir özelliktir. Bu tarz kötü amaçlı yazılım bir ağa eriştiğinde DDoS saldırısı başlatmak için POS terminalleri gibi bağlı cihazları kullanabilir. Tatil alışverişi sezonunda sadece bir günlük kesinti bile perakende satıcılarını milyonlarca dolarlık zarara uğratabilir. Bu tür bir saldırı, değerli veriyi çalmak gibi zararlı bir etkinliği yürütmenin yanı sıra güvenlik ekibinin dikkatini dağıtmak için de kullanılabilir.

•TOR YAPILANDIRMASI
FlokiBot, TOR tabanlı komutlarla yapılandırılabilir ve .onion uzantılı sitelerin URL'lerini kontrol edebilir. Kötü amaçlı yazılım komuta ve kontrol sunucusuyla iletişim kurmak isteyip bunun .onion uzantılı bir ana bilgisayar olduğunu fark ettiğinde trafiği TOR üzerinden yönlendirir. Saldırıya uğrayanda TOR yüklü değilse TOR'u kendisi indirir, yükler ve yapılandırır. Bu sayede botmaster'ın komuta ve kontrol sunucusu gizli tutmasına yardımcı olup, güvenlik firmaları tarafından kara listeye alınmasını önler.

PERAKENDE SATICILARININ GÖZ ÖNÜNDE BULUNDURMALARI GEREKEN ALANLAR
Her ölçekten kuruluşun bütün POS dağıtım altyapılarında güvenlik incelemesi yapmalarını önemle tavsiye ediyoruz. Bunun amacı var olan ihlalleri algılamak, saldırı becerilerini yaymaya ve genişletmeye devam eden bir düşmana karşı savunmaları güçlendirmektir. PCI-DSS standartlarına uyum, iyi bir başlangıç noktası olarak alınabilir. Perakende satıcılarının göz önünde bulundurmaları gereken birkaç alan daha bulunuyor:

• İŞ ORTAKLARI
2016 yılında, çalınan kimlik bilgilerini kapsayan ihlallerin yüzde 97'si meşru iş ortağı erişimini kullanmıştır. Kuruluşların ağ saldırısı yüzeyini azaltmak amacıyla her türlü uzaktan erişim bağlantısını dikkatle denetlemesi ve sınırlandırması gereklidir.

•ÖZEL MAKİNELER
POS yazılımını çalıştıran temel makine göreve özel olarak ayrılmalı; açık bağlantı noktalarını kısıtlamak ve yalnızca temel işlevler için gereken uygulamaların kullanımıyla sınırlandırmak üzere dağıtımdan önce güçlendirilmelidir.

•İNTERNET'TEN AYRI ALINMASI GEREKEN ÖNLEMLER
POS sistemlerinin kendileri de temel işlevselliği kolaylaştırmaya yetecek gelen ve giden bağlantı ile, ağın geri kalanından ayrılmalıdır. POS makineleri veya arka uç altyapısına, denetlenmemiş ve en az PCI-DSS standartlarında tam güvenlik denetimi ile oluşturulmamış hiçbir kablosuz ağ tarafından erişilememelidir.

•DİKKAT
Önemli test aşamalarından sonra, kötü amaçlı yazılımlara karşı geliştirilen uygulamalar potansiyel bilinmeyen kötü amaçlı yazılımları algılayabilmek için POS makineleri üzerinde agresif modda çalıştırılmalıdır. POS makinesi Windows tabanlı ise, mümkün olduğunda Gelişmiş Etki Azaltma Deneyimi Araç Seti (EMET) dağıtılmalı ve işletim sisteminin ve üçüncü taraf yazılımların tüm yönleri ile dikkatle ayarlanmalıdır.

•TRAFİK GERÇEKTİR
İleri düzey saldırganlar bir ihlal noktasını, ihlal edilebilecek diğer noktalara ulaşmak için kullanır. Bu ikincil hareket dikkatli bir kuruluş tarafından algılanabilen ağ etkinliği izleri bırakır.

•TOR ÜZERİNDEKİ KÖTÜ AMAÇLI YAZILIM ETKİNLİĞİNİ ALGILAMA
Kuruluşların beklenmeyen bir TOR varlığını algılamaları teşvik edilmelidir. Güvenlik ekibi, POS ikili sistemi içinde TOR tarayıcısının bulunabilmesi nedeniyle ağ düzeyinde TOR tarayıcısı için güçlü bir algılama yöntemi kullanmalıdır. Ağda bir TOR trafiği görülüyorsa ve bu trafik özellikle POS ortamından geliyorsa araştırılması gerekir.

•DIŞARI SIZMA ALGILANMALIDIR
Bir ağ yalnızca gerçekten gereken trafiğe izin verecek şekilde doğru yapılandırılmadıysa, verilerin dışarı sızdırılmasına uygun zemin hazırlayan sistemlerin sayısı artar. Bu da tehdit aktörlerinin kampanyalarının derinliği ile dayanıklılığını artırma çabasıyla trafiklerini gizleyebilecekleri daha fazla seçeneğe ve alana sahip olmalarını sağlar.
FlokiBot'un daha önce Zeus tabanlı bir türevinde nadiren görülen özelliklere sahip olması nedeniyle, öngörülebilir tehdit avlama çözümü bulunan ve POS makinelerinden gelen/giden trafiğini kontrol etmek amacıyla sağlam ağ izleme sistemi kuran kuruluşlar tehditlere hızlı ve etkili bir biçimde yanıt verip etkilerini azaltabilirler.
Bu tatil sezonunda, satışlardan doğan banka işlem hacimlerinin tehdit aktörlerinin iştahını kabarttığı ve artan trafik nedeniyle şüpheli hareketlerin tanımlanması zorlaştığı için güvenlik ekipleri tetikte olmalı ve ekiplerini doğru kişilerden oluşturmalıdır.
 

ops

Yukarı